Esteganografia

Ok ya vimos como podemos usar el Alternate Data Stream para ocultar texto en cualquier cosa. Ahora veremos algo mas interesante, no solo ocultar texto sino otras cosas como una imagen. Asi que sigamos con la entrega numero dos de el tutorial de esteganografia ADS.

Para ocultar CUALQUIER otra cosa en un portador, es el mismo comando que vimos en la parte numero 1 de ADS, LO UNICO que cambia son los tipos de archivos. (pero eso ya queda a nuestro gusto).

En este ejemplo ocultare una imagen.JPG dentro de OTRA imagenPORTADOR.PNG, y seria con el siguiente comando:

Type imagenaOCULTAR.JPG>imagenPORTADOR.PNG:passADS

En este caso estamos copiando/AGREGANDO (type) la imagen a ocultar dentro de (>) la imagen portador y le aplicamos el ADS que queramos (:passADS)

Ahora para ver eso NO basta con hacer un:

More <imagenPORTADOR.PNG:passADS

Por que eso lo unico que nos mostrara sera en consola los bytes imprimidos en ASCII…eso solo nos serviria en todo caso para ver la cabecera del archivo que esta oculto.  Como en este caso, no nos muestra la imagen (NO PUEDE MOSTRARLA), solo nos muestra los caracteres imprimibles de los bytes en ASCII. Sin embargo en este caso no vemos ni la cabecera, pero vemos que dice JFIF y eso es caracteristico de los JPG

Para hacerlo mas funcional no solo basta imprimirlos, hay que darles salida y uno podria pensar entonces en hacer esto:

More <imagenPORTADOR.PNG:passADS > salida.jpg

Y eso nos daria un archivo de cabecera de un JPG pero al abrirlo con nuestro mejor visor (infraview) dice que esta dañado….

F.U.C.K!!!

Y ahora???

Pues el comando MORE daña los bytes(Gracias a la explicacion de HaDeS, se esto del comando more.), ese comando no nos asegura integridad, asi que habra que pensar en otro modo de obtener el archivo….

¿Que les parece programando un sencillo codigo en PHP?

GENIAL!!!

<?php
$file=file_get_contents('imagenPORTADOR.PNG:passADS');
echo $file;
?>

Asi queda nuestro SUPER codigo, y lo aplicamos desde consola.

php.exe -f codigo.php > salidaADS2.jpg

Y ahora si ya salio nuestro archivo. Y si lo abrimos, sale integro. Y no dañado como con el comando “more”

Hecky..Pero no quiero programar, me da “harterilla” hacer eso…no hay otra manera??? NO SEA FLOJO y programelo. xD…

Claro hay otras opciones:

.-Puede programarlo en cualquier otro lenguaje

.-Firefox nos permite hacer eso: Solo debemos abrir la imagen con Firefox y agregarle el ADS y Voila!!

AGREGANDO EL ADS en Firefox

.-Oh que tal con Mspaint??

**Las ultimas dos tecnicas las aprendi gracias a algunos users de “wow.sinfocol.org”

Bueno eso es todo por ahora. Ya saben para obtener los ADS en una particion NTFS. LADS.exe es una gran opción ya que nos los lista.

NOTA: Por si alguien no se habia dado cuenta, los ADS no se pueden transmitir, osea. Si yo oculto por medio de ADS, y se lo envio ah alguien por algun medio, usando  protocolos (SMTP,POP3,HTTP,FTP,etc.) los ADS se pierden. ¿Por qué? Por que como habia dicho los ADS se dan en PARTICIONES NTFS

¿Hay manera de salvaguardar los ADS?

Claro yo conozco dos maneras. 1) Poniendo el archivo en un backup (.bk) y la otra es con Winrar, el nos da las opciones ;)….De Estas  dos maneras es posible, debido a que estas herramientas permiten grabar las propiedades NTFS, y se guarda el ADS

Si no me creen, pruebenlo. Aqui les dejo la imagen que fue usada en este tuto. Intenten extrar la imagen oculta y veran que no podran jeje xD:

Y ahora intentenlo desde este archivo y si podran por que guarde las propiedades con Winrar

DESCARGAR ARCHIVO

Ahora si es todo….espero les agradara esta segunda entrega

Saludos

Att. hecky para estegano.neobits.org